Virus Tyupkin (malware) | Seguridad de cajeros automáticos

DEFINICIÓN DEL VIRUS

Tipo de virus: virus/malware
También se denomina: Backdoor.MSIL.Tyupkin

¿Qué es Tyupkin?

Tyupkin es un tipo de malware que permite a los cibercriminales vaciar el dinero de cajeros automáticos mediante manipulación directa. Este malware, detectado por Kaspersky Lab como Backdoor.MSIL.Tyupkin, afecta a cajeros automáticos de los principales fabricantes de cajeros automáticos que ejecutan Microsoft Windows de 32 bits.

Detalles de la amenaza de virus

Los cibercriminales ejecutan su trabajo en dos fases:

Fase 1: acceso e infección
Primero, obtienen acceso físico a un cajero automático e insertan un CD de inicio para instalar el malware, es decir, el código Tyupkin (Backdoor.MSIL.Tyupkin). Después de que se reinicia el sistema, el cibercriminal toma el control del cajero automático infectado.

Fase 2: control y robo
A continuación, el cajero automático infectado ejecuta un ciclo infinito en espera de un comando. Para que la estafa resulte más difícil de identificar, el malware Tyupkin solo admite comandos en momentos específicos los domingos y los lunes por la noche. Es durante esos momentos que los cibercriminales pueden robar dinero de la máquina infectada.

Metodología
Registros de video obtenidos de cámaras de seguridad en los cajeros automáticos infectados muestran la metodología utilizada para acceder al dinero de las máquinas. Para cada sesión, se genera una nueva clave que consta de una combinación única de dígitos basada en números aleatorios. Esto garantiza que ninguna persona ajena a la banda pueda beneficiarse de casualidad del fraude. A continuación, el operador malicioso recibe instrucciones por teléfono de otro miembro de la banda cibercriminal que conoce el algoritmo y puede generar una clave de sesión basándose en el número mostrado. Esta medida garantiza que las mulas que recolectan el dinero no huyan con él.

Si la clave ingresada es correcta, el cajero automático muestra información de la cantidad de dinero disponible en cada bandeja, invitando al operador a elegir la bandeja que desea robar. Tras ello, el cajero automático dispensa 40 billetes a la vez de la bandeja elegida.

¿En qué lugares infecta el virus Tyupkin cajeros automáticos?

Según estadísticas extraídas de VirusTotal, se han observado transmisiones de malware desde los siguientes países:

Países donde se encuentra activo el virus Tyupkin

Consejos de seguridad sobre cajeros automáticos para operadores y bancos

Evalúa la seguridad física de los cajeros automáticos y considera invertir en soluciones de seguridad eficaces.
Cambia todas las cerraduras y llaves maestras de la cubierta superior de los cajeros automáticos y evita usar las opciones predeterminadas que ofrece el fabricante.
Instala una alarma y comprueba que funcione correctamente. Los cibercriminales que desarrollaron Tyupkin solo infectaron cajeros automáticos que no contaban con sistemas de alarma de seguridad instalados.
Cambia la contraseña predeterminada de la BIOS.
Verifica que las máquinas cuenten con protección antivirus actualizada
Mantente atento a ataques de ingeniería social por parte de criminales que pueden hacerse pasar por inspectores de alarmas de seguridad, cámaras de seguridad u otros dispositivos in situ.
Tómate en serio las alarmas de intrusiones y actúa en consecuencia notificando a las fuerzas sobre seguridad cualquier presunta brecha.
Para saber cómo puedes verificar que tus cajeros automáticos no estén infectados actualmente, comunícate con Kaspersky a intelreports@kaspersky.com. Para llevar a cabo un análisis completo del sistema del cajero automático y eliminar la puerta trasera, utiliza el producto gratuito Kaspersky Virus Removal Tool (que puedes descargar aquí).